1 av 6 ansatte i Bergen kommune ga fra seg passord: Et gjenstridig problem

IT-sikkerhet er et gjenstridig problem, og trenger tverretatlig samordning

KOMMENTAR: 1 av 6 ansatte i Bergen kommune ga fra seg passord: Et gjenstridig problem

IT-sikkerhet er et gjenstridig problem, og trenger tverretatlig samordning

I et arrangert forsøk som ledd av en sikkerhetsundersøkelse, lot én av seks ansatte i Bergen kommune seg lure til å gi fra seg brukernavn og passord. Forsøket var iscenesatt av konsulentselskapet Deloitte på bestilling av kommunens kontrollutvalg, med den hensikt å granske datasikkerheten i kommunen.

I konsulentselskapets revisjonsrapport kommer det frem at nærmere 14 000 ansatte i kommunen mottok en e-post fra et fiktivt selskap, hvor de fikk i oppdrag å svare på en etikkundersøkelse. E-posten inneholdt visse element, slik at den skulle fremstå som delvis troverdig. Den inneholdt blant annet kommunens logo, og handlet om etikk, som er et tema som angår de fleste i kommunen.

Samtidig inneholdt e-posten flere element som i prinsippet burde gjøre mottageren klar over at e-posten ikke var reell. Avsenderen var «Dcure Global», og har ingen tilknytning til kommunen, og lenket videre til en nettside som heller ikke var relatert til kommunen.

De som klikket seg videre fra e-posten, møtte denne innloggingsportalen Skjermbilde: Deloitte / Revisjonsrapporten

På nettsiden måtte de ansatte oppgi «username» og «password» til sin «windows»-bruker, og var i det hele også utformet og designet på en lite troverdig og uprofesjonell måte. Det var også et bevisst valg at nettsiden ikke benyttet seg av HTTPS, som blir brukt for å kryptere trafikken mellom bruker og serveren, noe som er vanlig å se i phishing-angrep, hvor man ønsker å få tak i sensitiv informasjon. 

Sikkerhetsanalysen kommer etter at Bergen kommune i nyere tid har fått avdekket to alvorlige sikkerhetshull i sine IT-systemer. Samtidig er det klart at dette er et problem som strekker seg mye lenger enn bare Bergen kommune, og et tilsvarende eksperiment kunne like godt gitt tilsvarende resultatet i en annen kommune, i et departement, eller således også i privat sektor.

Hva hjelper det egentlig hvis bare Bergen kommune driller sine ansatte, når morgendagens angrep blir rettet mot nabokommunen?

Resultatet av det arrangerte svindelforsøket i Bergen kommune er bare et symptom på et mye større problem knyttet til IT-sikkerhet i samfunnet.

IT-sikkerhet som et gjenstridig problem

IT-sikkerhet og cyberangrep bør i stor grad anses å være et gjenstridig problem (også kalt «wicked problem»). Gjenstridige problem er kjennetegnet ved at problemene blant annet er komplekse og går utover organisatoriske grenser og forvaltningsområder. I tillegg kan problemene sjeldent løses, og bare begrenses i omfang. Siden problemene involverer ulike forvaltningsnivå, skaper dette også en ulik forståelse av problemet. I Norge kan ministerstyret og mål- og resultatstyring forstås å øke et fokus på hierarkisk styring og silotenking. Problemene har heller ingen enkel løsning eller årsaksforklaringer, men ofte blir bedre samordning lagt frem som et viktig virkemiddel for å kunne håndtere disse problemene (Nesheim, Gressgård, Hansen & Neby, 2019).

Det store spørsmålet er hvordan man egentlig kan klare å oppnå bedre samordning i et offentlig apparat bestående av  16 departement, 70 direktorat – og fra 1. januar 2020: 16 fylker og 356 kommuner?

Til Bergens Tidende (21.11.2019) uttaler finansbyrad Erlend Horn (V) at han har vært i kontakt med digitaliseringsminister Nikolai Astrup (H), og bedt om et møte om IT-sikkerhet i kommunesektoren. I tillegg skal kommunen blant annet skal sentralisere personvern, fremfor at hver etat i kommunen skal håndtere dem.

I det hele og det store bildet er ikke dette nok, og det er essensielt at problemet løftes opp fra det kommunale nivået

Hovedutfordringen man står ovenfor er at mangelfull IT-sikkerhet i det offentlige skal løses i et system som består av organisasjoner som til vanlig er adskilt fra hverandre, både fysisk og hierarkisk. Organisasjonene har ofte svært ulike mål, arbeidsmåter kultur, verdier og er satt sammen på vidt ulik måte. For å kunne få til en god samordning, peker Nesheim et. al. (2019) på at det er nødvendig med en forståelse av disse forskjellene. For å løse problemene kreves det ikke bare innsats av alle enhetene internt i systemet, men også et ytre press fra omgivelsene.

Topplederstøtte og strategisk forankring

I en artikkel i Norsk statsvitenskapelig tidsskrift, peker seniorforsker ved Samfunns- og næringslivsforskning Torstein Nesheim og hans medforfattere på at det vil være viktig med topplederstøtte, tydelig informasjon og klare styringssignal til underordnede enheter i etatene. Samtidig, ved tverretatlig samarbeid, understreker Nesheim m.fl. at det vil kreve en felles strategi mellom departementene, i tillegg til like styringssignal til eksterne etater, god samordning mellom underliggende enheter, og like styringssignaler internt i hver av disse enhetene. 

Det er altså ingen enkel oppgave, men det vil i stor grad være nødvendig at problemløsningen tar utgangspunkt i et initativ fra regjeringen, med en felles, nasjonal handlingsplan og strategi. Vi har allerede fastsatt plikt til å iverksette styringssystem for informasjonssikkerhet, men det er nødvendig å utvide dette til å bedre kunne fange opp hvorvidt dette faktisk blir fulgt, og stadig bygge på ut fra erfaringer man gjør seg 'i bunn av hierarkiet' - der hvor innbyggerne møter det offentlige. 

Læring i organisasjoner

Samtidig understreker Nesheim m.fl. at organisasjoners evne til å fange opp ny informasjon og kunnskap er svært viktig for å kunne trekke utviklingen i riktig endring. IT-sikkerhet er et felt hvor endringer skjer raskt, og det er svært ulikt hvor mye som fanges opp.

Det er derfor nødvendig å legge til rette for at de ansatte i det offentlige får god og regelmessig opplæring, og at det settes i gang tiltak som raskt kan fange opp nye tendenser og verktøy som kan forbedre sikkerheten - slik flerfaktor-autentisering har blitt stadig mer og mer vanlig og sentralt som et minimumskrav for IT-sikkerhet. Staten, departementene og direktoratene må også lære av erfaringene Bergen har gjort seg. Da er det helt nødvendig at læringen går begge veier - både horisontalt og vertikalt.  

Hva hjelper det egentlig hvis bare Bergen kommune driller sine ansatte, når morgendagens angrep blir rettet mot nabokommunen?

Kilder:

Nesheim, Torstein & Gressgård, Leif Jarle & Hansen, Kaare & Neby, Simon. (2019). Gjenstridige problemer og tverretatlig samordning: Et analytisk rammeverk. Norsk statsvitenskapelig tidsskrift. 35. 28-50. 10.18261/issn.1504-2936-2019-01-02.

Kommentarer (11)

Kommentarer (11)
Til toppen